Production Perig - stock.adobe.c
Ende des Privacy Shield: Die Folgen für Arbeitnehmerdaten
Das Urteil des EuGHs im Hinblick auf den Datentransfer zwischen der EU und den USA hat Folgen für die Übermittlung personenbezogener Daten, das gilt auch für Arbeitnehmerdaten.
Der Schutz von personenbezogenen Daten wird innerhalb Europas von der Datenschutz-Grundverordnung (DSGVO) sichergestellt. Sobald solche Daten jedoch den europäischen Raum verlassen, beispielsweise aufgrund einer Online-Warenbestellung bei einem Unternehmen mit Sitz in den USA oder der Anmeldung bei einem Social-Media-Portal, ist dieser Schutz nicht mehr ohne Weiteres gewährleistet. Laut Art. 44 DSGVO dürfen personenbezogene Daten nur dann an ein Drittland übermittelt werden, wenn deren Schutz dort angemessen sichergestellt ist.
Ob ein Drittland angemessenen Schutz gewährleistet, kann gem. Art. 45 DSGVO durch einen Angemessenheitsbeschluss der Europäischen Kommission festgestellt werden.
Im Juni 2016 entschied die EU-Kommission, dass die USA ein angemessen sicheres Schutzniveau aufweist und beschloss mit dem Privacy Shield (Datenschutzschild) ein Datenschutzabkommen, mit dem es zertifizierten US amerikanischen Handelsunternehmen erlaubt ist, personenbezogene Daten von europäischen Bürgern in die USA zu übertragen und dort zu speichern. Doch damit soll jetzt Schluss sein, urteilte der EuGH in einer bahnbrechenden Entscheidung am 16. Juni 2020.
Jurist als Ritter des Datenschutzes
Den Stein ins Rollen brachte der österreichische Jurist Max Schrems, der bereits im Jahr 2014 vor dem EuGH eine Klage gegen Facebook (Irland) geltend machte. Im Kern ging es um die Frage, ob Facebook und andere Unternehmen personenbezogene Daten ihrer User in die USA übermitteln und für Werbezwecke nutzen und so eine Massenüberwachung der US-Geheimdienste ermöglichen.
Bei seinen Ausführungen griff Schrems das ehemals geltende Datenschutzabkommen Safe Harbor an, welches ebenfalls einen einfacheren Datentransfer zwischen der EU und den USA ermöglichen sollte.
In seiner Entscheidung aus dem Jahr 2015 stellte der EuGH erstmalig fest, dass die USA nicht über ein EU-gleiches Datenschutzniveau verfügen und personenbezogene Daten dort nicht ausreichend geschützt seien. Der EuGH erklärte daraufhin das Safe-Harbor-Abkommen für unwirksam und entzog diesem transatlantischen Datentransfer die rechtliche Grundlage.
Ähnlich schlecht lief es für das Nachfolgerabkommen Privacy Shield. In seinen Urteilsgründen leitete der EuGH aus den Grundsätzen der Art. 7,8,47 und 52 drei Anforderungen für ein angemessenen Datenschutzniveau ab und prüfte, ob diese beim US-Datenschutz vorliegen.
1. Privatsphäre und Datenschutz dürfen nur unter Beachtung des Verhältnismäßigkeitsgrundsatzes eingeschränkt werden.
Die Beachtung des Verhältnismäßigkeitsgrundsatzes sprach der EuGH dem US-Datenschutz jedoch ab, mit dem Verweis, dass insbesondere die Überwachungsprogramme der US-Geheimdienste nicht auf das nach dem Grundsatz der Verhältnismäßigkeit „zwingend erforderliche Maß“ beschränkt sind.
Vielmehr seien die PRISM- und UPSTREAM-Programme der US-Geheimdienste geeignet, eine umfangreiche und anlasslose Massenüberwachung zu ermöglichen. Zudem würde sämtlicher Internetverkehr mitgelesen und für die Sicherheitsbehörden erschließbar gemacht.
2. Die Einschränkung ist nur zulässig unter Maßgabe einer Rechtsgrundlage, die den Umfang der Einschränkung hinreichend konkret festlegt.
3. Die Einschränkung ist nur zulässig, wenn die Betroffenen im Drittstaat eine Möglichkeit haben, die Verarbeitung ihrer Daten gerichtlich prüfen zu lassen.
Auch diese Anforderung konnte der EuGH dem US-Datenschutz nicht zuschreiben.
Zwar können sich beim Privacy Shield, anders als noch beim Safe-Harbor-Abkommen, US-amerikanische Unternehmen, die personenbezogene Daten von EU-Bürgern übertragen und verarbeiten wollen, in eine vom US-Handelsregister geführte Liste eintragen lassen. Damit bescheinigen sie, sich zu verpflichten, bestimmte datenschutzrechtliche Regeln einzuhalten und den betroffenen Bürgern bestimmte datenschutzrechtliche Rechte einzuräumen.
Der EuGH erkannte jedoch, dass das gesamte System für die Betroffenen nicht den versprochenen Rechtsschutz gewährleiste, denn eine gerichtliche Überprüfung sei nicht beziehungsweise. nur eingeschränkt möglich. Dieses Problem könne auch die im US-Außenministerium angesiedelte Ombudsperson nicht lösen, an die sich der Betroffene bei einer Rechtsverletzung wenden sollte, denn laut EuGH sei diese nicht ausreichend unabhängig und könne keine verbindliche Entscheidung gegen die US-Geheimdienste fällen.
Somit wird ersichtlich, dass die Datenschutzniveaus der EU und den USA nicht, wie es die EU-Kommission jüngst noch gesehen hat, gleichwertig sind. Daher traf der EuGH die Entscheidung, dass die Datenschutzstandards der USA nicht ausreichend hoch und daher mit dem Datenschutzniveau der EU unvereinbar sind.
Er schloss daraus die Unrechtmäßigkeit der Entscheidung der EU-Kommission über das Privacy-Shield-Abkommen und bezeichnete die Übertragung persönlicher Daten von der EU in die USA in vielen Fällen als illegal. Eine Datenübermittlung auf Basis von sogenannten EU- Standardvertragsklauseln (auch Standarddatenschutzklauseln), die die Rechte und Pflichten des Datenim- und exports regeln und dem Betroffenen durchsetzbare Rechte und Rechtsbehelfe gewährleisten, soll laut EuGH jedoch weiterhin möglich sein.
Einfluss auf Arbeitnehmerdaten?
Das Urteil des EuGH hat nicht nur Auswirkungen auf personenbezogene Daten von Kunden oder Social-Media-Nutzern, sondern auch auf solche von Arbeitnehmern. Häufig werden nämlich personenbezogene Daten einer europäischen Konzerngesellschaft zwecks Speicherung und Verarbeitung zu einer US-amerikanischen Konzerngesellschaft übermittelt (insbesondere innerhalb eines Konzernverbunds). Damit könnte Schluss sein, wenn sich ein betroffener Mitarbeiter an die lokale Datenschutzbehörde wendet, die unter Umständen die Datentransfers des betreffenden Unternehmens untersagen könnte.
Gibt es eine bessere Lösung?
Nachdem das Privacy Shield vom EuGH gekippt wurde, stellt sich die Frage, ob es überhaupt Alternativen zu den vom EuGH als wirksam erachteten Standardvertragsklauseln gibt. Doch die Antwort ist ernüchternd, denn andere Möglichkeiten für einen transatlantischen Datentransfer bieten sich in der Praxis kaum an. Die europäische DSGVO (Datenschutz-Grundverordnung) sieht nämlich nur einen begrenzten Katalog an Erlaubnisnormen für Drittlandsübermittlungen vor.
„Betrachtet man das Urteil des EuGHs und dessen Folgen, lässt sich erkennen, dass die Zukunft des Datentransfers zwischen der EU und den USA alles andere als klar ist.“
Dr. Christoph Abeln, ABELN
In allen übrigen Fällen außerhalb dieses Katalogs bedarf es zur Datenweitergabe einer Einwilligung des Betroffenen. Fehlt diese Einwilligung, weil sie beispielsweise von einem Mitarbeiter eines Unternehmens verweigert wird, könnte der Datentransfer wegen Unwirksamkeit scheitern.
Um das Haftungsrisiko von Anfang an zu minimieren, könnten europäische Unternehmen erwägen, personenbezogene Daten künftig anstatt auf US-amerikanischen, auf europäischen Cloud Servern zu speichern (Diese Möglichkeit bieten jetzt schon beispielsweise Amazon Web Services oder Microsoft an). Zudem könnten sich europäische Datenexporteure an lokale Aufsichtsbehörden wenden und sich deren Meinung zur Zulässigkeit des Datentransfers einholen.
Betrachtet man das Urteil des EuGHs und dessen Folgen, lässt sich erkennen, dass die Zukunft des Datentransfers zwischen der EU und den USA alles andere als klar ist. Es bleibt daher abzuwarten, welche Entwicklungen (in Europa) Einzug halten, um die Datenübermittlung in Drittländer unkompliziert und vor allem sicher zu gestalten.
Über den Autor:
Dr. Christoph Abeln ist Fachanwalt für Arbeitsrecht. Er ist Geschäftsführer der auf Arbeitsrecht für Führungskräfte spezialisierten Kanzlei ABELN mit Sitzen in Berlin, Frankfurt/M., Düsseldorf und München. Seit über zwanzig Jahren vertritt Dr. Abeln Arbeitnehmer in Führungspositionen, leitende Angestellte, Geschäftsführer, Vorstände und Auslandsentsandte. Seine Kanzlei richtet den jährlichen Führungskräftetag in Berlin aus. Marlene Schütz ist wissenschaftliche Mitarbeiterin der Kanzlei Abeln.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
